为什么openssl在OCSP协议中发送CA证书

在OpenSSL中，当使用OCSP（在线证书状态协议）时，会发送CA证书是因为在验证证书的有效性时，需要使用CA证书对OCSP响应进行验证。

在OCSP协议中，客户端向OCSP服务器发送一个证书状态请求，该请求包含了需要验证的证书和CA证书的指纹。OCSP服务器收到请求后，会使用CA证书对响应进行签名，以确保响应的真实性和完整性。

因此，在使用OpenSSL进行OCSP验证时，需要提供CA证书，以便OpenSSL可以使用该证书对OCSP响应进行验证。如果不提供CA证书，OpenSSL将无法验证OCSP响应的有效性，从而导致验证失败。

总之，OpenSSL在OCSP协议中发送CA证书是为了确保证书状态响应的有效性和完整性。

相关·内容

密码学系列之:使用openssl检测网站是否支持ocsp

简介 OCSP在线证书状态协议是为了替换CRL而提出来的。对于现代web服务器来说一般都是支持OCSP的，OCSP也是现代web服务器的标配。...获取OCSP responder地址如果证书中包含有OCSP responder的地址，那么可以用下面的命令来获取： openssl x509 -noout -ocsp_uri -in ca.pem...还有一种方法可以获得ocsp responder的地址： openssl x509 -text -noout -in ca.pem 这个命令会输出证书的所有信息，我们可以看到下面的内容： Authority...发送OCSP请求有了OCSP responder的地址，我们就可以进行OCSP验证，在这个命令中我们需要用到服务器的证书和intermediate证书。...具体的请求命令如下： openssl ocsp -issuer chain.pem -cert ca.pem -text -url http://ocsp.digicert.com 从输出中我们可以得到两部分

1.2K4 0

在linux系统下使用 openssl 命令行构建 CA 及证书

++e is 65537 (0x10001) 如果你要用密码保护这个密钥，在命令行添加选项 -aes256。...创建 SHA-256 自签名的根 CA 证书 ca.crt；你需要为你的根 CA 提供识别信息： openssl req -sha256 -new -x509 -days 1826 -key rootca.key...如果需要的话，你可以撤销revoke这个中级证书： openssl ca -config ca.conf -revoke intermediate1.crt -keyfile rootca.key -cert...如果你需要指定起止时间，添加如下行到 [myca] 中。...如果需要的话，你可以撤销revoke这个最终用户证书： cd ~/SSLCA/intermediate1/ openssl ca -config ca.conf -revoke ~/enduser-certs

1.5K1 1

CDN开启OCSP Stapling功能为何不生效？

背景：对于一个可信任的 CA 机构颁发的有效证书，在证书到期之前，只要 CA 没有将其吊销，那么这个证书就是有效可信任的。...有时，由于某些特殊原因（比如私钥泄漏，证书信息有误，CA 有漏洞被黑客利用，颁发了其他域名的证书等等），需要吊销某些证书。...Status Protocol，在线证书状态协议） 1、CRL CRL 是由 CA 机构维护的一个列表，列表中包含已经被吊销的证书序列号和吊销时间。...在每个证书的详细信息中，都可以找到对应颁发机构的 CRL 地址。...（OCSP 地址也在证书的详细信息中） OCSP Stapling 就是为了解决 OCSP 性能问题而生的，其原理是：在 SSL 握手时，服务器去证书 CA 查询 OCSP 接口，并将 OCSP 查询结果通过

3.8K29 0

【Nginx37】Nginx学习：SSL模块（一）简单配置与指令介绍

ssl_certificate file; 如果除了主证书之外还应指定中间证书，则应按以下顺序在同一文件中指定它们：首先是主证书，然后是中间证书。 PEM 格式的密钥可以放在同一个文件中。...在使用 OpenSSL 1.0.2 或更高版本或使用旧版本的 prime256v1 时使用内置于 OpenSSL 库中的列表。...none 温和地禁止使用会话缓存：nginx 告诉客户端会话可以被重用，但实际上并没有将会话参数存储在缓存中。 builtin OpenSSL 中内置的缓存；仅由一个工作进程使用。...对于 OCSP 响应程序主机名的解析，还应指定解析器指令。 ssl_stapling_file 设置后，将从指定文件中获取装订的 OCSP 响应，而不是查询服务器证书中指定的 OCSP 响应者。...ssl_verify_client 启用客户端证书的验证。验证结果存储在 $ssl_client_verify 变量中。

1K2 0

创建私有CA,我就用openSSL

熟悉证书的朋友可能会说了，为什么不使用自签名证书呢?也可以达到安全通信的目的。这是因为自签名证书的作用比较有限，它没有CRL和OCSP的能力，并且使用起来也不是很方便。...接下来我们创建一个自签名的证书，这里我们需要用到配置文件中的ca_req_ext部分： openssl ca -selfsign -config root-ca.conf -in root-ca.csr...在revoke中指定要revoke的证书即可。...接下来我可以使用root CA和root-ocsp.csr颁发OCSP证书，这里我们需要用到配置文件中的ocsp_ext部分。...这里启动的是一个本地服务，在正式环境中可以考虑将其迁移到单独的服务器中。总结使用上面的命令，我们搭建了一个私有的CA服务，和对应的OCSP，openssl非常强大，基本上你可以用他来做任何事情。

9874 0

nginx优化https（ocsp）

客户端通过访问CRL来验证网站证书是否有效。在线证书状态协议（ocsp），其OCSP查询地址是http://ocsp.int-x3.letsencryp......，浏览器需要发送请求到这个地址来验证证书状态。在线证书状态协议（OCSP）克服了证书注销列表（CRL）的主要缺陷：必须经常在客户端下载以确保列表的更新。...当用户试图访问一个服务器时，在线证书状态协议发送一个对于证书状态信息的请求。服务器回复一个“有效”、“过期”或“未知”的响应。协议规定了服务器和客户端应用程序的通讯语法。...在线证书状态协议给了用户的到期的证书一个宽限期，这样他们就可以在更新以前的一段时间内继续访问服务器。...服务器在TLS握手时发送事先缓存的OCSP响应，用户只需验证该响应的有效性而不用再向数字证书认证机构（CA）发送请求。

1.2K2 1

Nginx开启OCSP以解决Lets Encrypt证书被DNS污染访问缓慢

摘要最近突然发现我的网站在苹果手机上Safari浏览器上第一次会访问会非常慢，但只要第一次访问后，后续的访问速度均不受影响...这就纳闷了，网站速度我都是优化过的，为什么会存在这种情况呢？...检测OCSP 有两种方法： 1.在线检测：亚洲诚信的SSL检测工具 https://myssl.com/ 14.png 手动检测： openssl s_client -connect ffis.me...stapling 开启OCSP装订需要在网站的nginx配置文件中添加如下配置： # 开启 OCSP Stapling，开启后服务器在TLS握手时发送事先缓存的OCSP响应，用户只需验证该响应的有效性而不用再向数字证书认证机构...（CA）发送请求 ssl_stapling on; # 启用或禁用服务器对OCSP响应的验证 ssl_stapling_verify on; # 证书的签发机构的ca证书，我的Let's Encrypt...是acme.sh自动获取的证书，ca证书目录为：/root/.acme.sh/ffis.me/ca.cer ssl_trusted_certificate /usr/local/nginx/conf/ssl

2.3K4 0

https原理及实践

证书用于验证客户端证书如果启用了ssl_stapling，则指定包含filePEM格式的可信CA证书，用于验证客户端证书和OCSP响应。...在使用OpenSSL 1.0.2或更高prime256v1版本时使用OpenSSL库中内置的列表，或使用旧版本。...none 会话缓存的使用被轻轻地禁止：nginx告诉客户端会话可能被重用，但实际上不会将会话参数存储在缓存中。 builtin 建立在OpenSSL中的缓存; 仅由一个工作进程使用。...设置时，装订好的OCSP响应将取自指定的地址，file而不是查询服务器证书中指定的OCSP响应者。该文件应该是由“openssl ocsp”命令产生的DER格式。...如果启用了ssl_stapling，则指定包含filePEM格式的可信CA证书，用于验证客户端证书和OCSP响应。

1.4K9 0

系统安全加密验证签名之Openssl命令

OpenSSL在这一领域已经成为事实上的标准，并且拥有比较长的历史，在OpenSSL被曝出现严重安全漏洞后，发现多数通过SSL协议加密的网站使用名为OpenSSL的开源软件包。...由于SSL技术已建立到所有主要的浏览器和WEB服务器程序中，因此仅需安装服务器证书就可以激活该功能了）。即通过它可以激活SSL协议，实现数据信息在客户端和服务器之间的加密传输，可以防止数据信息的泄露。...，任然采用-extensions选择ocsp_ext以确保设置了OCSP签名所需要的扩展; # 在root-ca.conf配置文件中设置键值对如default_crl_days = 365,证书的生命周期减少为...，此时在生成证书便可能被复制加入到证书中)，不过我认为在较小的环境中这么做是可以的。...: # 其次需要使用根CA签发一张证书，任然采用-extensions选择ocsp_ext以确保设置了OCSP签名所需要的扩展; # 在root-ca.conf 配置文件中设置键值对如default_crl_days

4.1K3 0

网络安全的第一道防线：深入探索sslscan在SSLTLS证书安全检测中的原理与实践

，在进一步协商阶段可能会处于阻塞状态，比如OCSP服务器在境外被大陆限制访问或者被DNS污染，此时请求始终无法完成；通过OCSP Request发送给证书颁发机构进行实时查询证书可用性，也可能会导致泄漏客户端的隐私...装订前：每台客户端第一次请求TLS证书时，都会先向CA证书颁发机构发送OCSP Request。...装订后：客户端发送OCSP Request给Web服务端，由Web服务端向CA证书颁发机构发送OCSP查询请求，再响应给客户端，并将结果缓存下来。...以通过openssl自签的双向证书为例：sslscan --show-client-cas 在最后的Acceptable client certificate CA names部分可以看到服务端输出的允许的客户端...输出十六进制ID，也是一样的：它们在ciphersuite.info中也有展示：以及在openssl.org的man文档中也有展示对应映射关系：10.打印每次握手耗时（--show-times）此参数将显示每次握手所花费的时间

6.7K109 100

HTTPS 原理与证书实践

目签发证书实际创建过程 cd /etc/pki/CA/private/ # 进入到私钥保存目录中 (umask 077;openssl genrsa -out ....openssl req -new -key httpd.key -out httpd.csr # 创建向CA申请证书的请求证书 # 第三步将请求文件发送给证书颁发机构 1.6 WEB服务实现...证书文件路径，用于验证客户端证书和OCSP(Online Certificate Status Protocol，在线证书状态协议)响应。...nginx在使用OpenSSL 1.0.2或更高版本时使用OpenSSL库中内置的列表为prime256v1，或使用旧版本。...设置后，将从指定的file中采取订阅的 ocsp 响应, 而不是查询在服务器证书中指定的 ocsp 应答器。该文件应该是由“ openssl ocsp”命令产生的DER格式。

4.9K7 0

有关 TLSSSL 证书的一切

openssl 并不信任这个中级 CA，所以我们要告诉 openssl，链条中还有一个证书——中级 CA 的证书，通过这个中级 CA 的证书，openssl 可以发现，哦，原来你这个 digicert_tls_rsa_sha256...我们还可以验证一下，openssl 有没有在本地去读 CA 文件。...，有一种技术，就是在客户端的代码中拒绝信任所有 CA，只信任自己的证书。...原理上，就是 CA 证书自身带有这个信息，告诉客户端在校验证书的时候，应该去访问这个 URL 列表，查看自己要验证的证书是否在吊销列表中，如果在，就不要信任。...官网上的原理图这我按照自己的理解解释一下，三方分别要做的事情： CA 在签发证书的时候，必须将签发的证书放到 CT 数据库中，CT 会给证书加 SCT；CA 将签名的证书发回给网站，这个证书是带有 SCT

4982 0

HTTPS 优化总结

OCSP Stapling OCSP Stapling 是什么 OCSP (Online Certificate Status Protocol) 通常是 CA 提供来实时验证证书是否合法有效的。...客户端就可以根据证书中的 OCSP 信息，发送查询请求到 CA 的在线验证地址来查询证书是否有效。OCSP 的问题在于，对 CA 机构的验证接口高可用性有要求，增加了浏览器握手的延时。...OCSP Stapling 技术是对 OCSP协议的进一步升级。服务器事先模拟浏览器对证书链进行验证，然后将 OCSP 验证结果缓存到本地。...在 TLS 握手的过程中，客户端在发送 Change Cipher Spec 和 Finished，即握手完成前，就开始发送应用层的请求数据，服务端在 TLS 握手完成时直接返回响应数据。...（包括你的站点），而这些受信任的 CA 有很多，如果某 CA 中的某链被攻破，就可以造成由伪造或不正当手段获得网站证书的中间人攻击。

7302 1

HTTPS 基本原理和配置 - 2

1.1 NGINX 配置参数（OpenSSL）在开始之前: NGINX 处理 TLS 的方式是使用 OpenSSL，我相信你已经在新闻中听说过这个库。...1.2 NGINX 配置证书链和私钥所以，当你在 NGINX 中设置你的服务器部分时，ssl_certificate 就是你的证书链。这是你的证书加上所有的信任链一直到根证书。...有几种机制可以告诉浏览器证书已被吊销; 它们都有点粗略，但最流行的是 OCSP(Online Certificate Status Protocol，在线证书状态协议)。...因此，OCSP 装订允许服务器获取证书未过期的证明。在后台，获取这个表示「是的，证书是好的」的 OCSP 响应，然后将它放入握手中。这样客户端就不需要实际接触 CA 并获取它。 5.2 会快多少？...你可以从 CA 获得一个文件，并通过可信证书部分添加到该文件中。总结以上就是配置 NGINX 和 OCSP 装订、HSTS 和 SSL 代理的方法。

7713 0

0638-6.1.0-Cloudera Manager配置TLS

创建节点证书 3. 配置Cloudera Manager Console使用TLS协议 4. Cloudera Manager Agents配置TLS 5....3 创建节点证书以下操作在集群所有节点都需要操作 1....根据如下步骤在CA服务器上依次为每一个节点的CSR生成certificate 修改/root/ca/intermediate/openssl.cnf,在[ server_cert ]下添加subjectAltName...验证每一个节点上的证书 openssl x509 -in /opt/cloudera/security/pki/$(hostname -f).pem -noout -text 在结果中需要有如下内容：...在所有节点上创建/etc/cloudera-scm-agent/agentkey.pw，内容为证书密码，该案例中为changeit. ?

2.2K3 0

HTTPS你不要这么慢了

OpenSSL升级协议升级密钥协商算法优化对称加密算法优化 TLS1.2升级为1.3 密钥协商算法优化密钥协商算法尽量选取ECDHE算法，该算法相比RSA算法具有向前保密，且在第三次握手以后就可以发送数据...CRL CRL是证书吊销列表，列表定期由CA更新，如果服务器的证书在该列表中，证书则失效。...CRL的缺点：定期刷新，实时性差，在未刷新期间该证书依然有效列表不断增大，下载耗时增加，同时客户端遍历证书验证列表耗时也增加 OCSP OCSP就是向CA发送查询请求，CA返回证书的有效状态。...OCSP的速度依赖CA服务器的状态和与CA服务器之间的网络状态，如果服务器响应慢或中间网络慢，都会导致证书验证变慢。...然后在客户端和服务端建立TLS连接时，服务器会把上面的响应结果发送给客户端。客户端通过该结果就可以知道证书是否被吊销，不需要再向CA发起网络请求。

1.3K3 0

更快更安全，HTTPS 优化总结

OCSP Stapling OCSP Stapling 是什么 OCSP (Online Certificate Status Protocol) 通常是 CA 提供来实时验证证书是否合法有效的...客户端就可以根据证书中的 OCSP 信息，发送查询请求到 CA 的在线验证地址来查询证书是否有效。OCSP 的问题在于，对 CA 机构的验证接口高可用性有要求，增加了浏览器握手的延时。...OCSP Stapling 技术是对 OCSP协议的进一步升级。服务器事先模拟浏览器对证书链进行验证，然后将 OCSP 验证结果缓存到本地。...这样，当浏览器访问站点时，在握手阶段，可以直接拿到 OCSP 响应结果和证书链，就不需要再向 CA 请求接口，对访问速度有明显提升。...在 TLS 握手的过程中，客户端在发送 Change Cipher Spec 和 Finished，即握手完成前，就开始发送应用层的请求数据，服务端在 TLS 握手完成时直接返回响应数据。

3.1K11 0

HTTPS 握手会影响性能吗？废话，肯定会

；客户端验证证书时，会访问 CA 获取 CRL 或者 OCSP，目的是验证服务器的证书是否有被吊销；双方计算 Pre-Master，也就是对称加密密钥；为了大家更清楚这些步骤在 TLS 协议握手的哪一个阶段...证书验证优化客户端在验证证书时，是个复杂的过程，会走证书链逐级验证，验证的过程不仅需要「用 CA 公钥解密证书」以及「用签名算法验证证书的完整性」，而且为了知道证书是否被 CA 吊销，客户端有时还会再去访问...CA，下载 CRL 或者 OCSP 数据，以此确认证书的有效性。...OCSP 因此，现在基本都是使用 OCSP ，名为在线证书状态协议（Online Certificate Status Protocol）来查询证书的有效性，它的工作方式是向 CA 发送查询请求，让 CA...OCSP 需要向 CA 查询，因此也是要发生网络请求，而且还得看 CA 服务器的“脸色”，如果网络状态不好，或者 CA 服务器繁忙，也会导致客户端在校验证书这一环节的延时变大。

1.1K2 0

你并不在意的 HTTPS 证书吊销机制，或许会给你造成灾难性安全问题！

CRL分布在公共可用的存储库中，浏览器可以在验证证书时获取并查阅CA的最新CRL。该方法的一个缺陷是撤销的时间粒度限于CRL发布期。只有在计划更新所有当前发布的CRL之后，才会通知浏览器撤销。...OCSP 检测流程浏览器在获得Web服务器的公钥证书后，开始验证公钥的合法性，这里会向该公钥的扩展信息中提供的OCSP Server地址发送OCSP Response，获得响应后，确认证书有效，...OCSP的优点相对于CRL方式，证书吊销后，CA Server可以立刻将吊销信息发送给浏览器，生效时间快。响应包内容短，不像CRL的响应包，都将近1M以上。...第二个缺点：在浏览器发送服务器HTTPS证书序号到CA OCSP Server时，也将暴露了用户的隐私，将用户访问的网址透漏给了CA OCSP Server。...RFC 比如生成csr的时候，在openssl.cnf中增加： [v3_req ] basicConstraints = CA:FALSE keyUsage = nonRepudiation, digitalSignature

2.5K2 0

真正“搞”懂HTTPS协议19之HTTPS优化

所以，在软硬件升级都不可行的情况下，我们最常用的优化方式就是在现有的环境下挖掘协议自身的潜力。...客户端的证书验证其实是个很复杂的操作，除了要公钥解密验证多个证书签名外，因为证书还有可能会被撤销失效，客户端有时还会再去访问 CA，下载 CRL 或者 OCSP 数据，这又会产生 DNS 查询、建立连接...所以，现在 CRL 基本上不用了，取而代之的是 OCSP（在线证书状态协议，Online Certificate Status Protocol），向 CA 发送查询请求，让 CA 返回证书的有效状态。...但 OCSP 也要多出一次网络请求的消耗，而且还依赖于 CA 服务器，如果 CA 服务器很忙，那响应延迟也是等不起的。...于是又出来了一个“补丁”，叫“OCSP Stapling”（OCSP 装订），它可以让服务器预先访问 CA 获取 OCSP 响应，然后在握手时随着证书一起发给客户端，免去了客户端连接 CA 服务器查询的时间

4532 0

点击加载更多

扫码

添加站长进交流群

领取专属 10元无门槛券

手把手带您无忧上云